براساس سند محرمانهای از آمازون که به دست رسانهها افتاده است، آمازون میخواهد کارکنانی را که ارائهدهندهی خدمات به مشتریان هستند، به دقت تحت نظارت قرار دهد تا از دسترسی کارکنان و هکرها به دادههای مشتریان جلوگیری کند.
به گزارش گرداب،در این سند چندین مورد از حوادثی که در آن افراد موفق به سرقت اطلاعات مشتریان آمازون شدهاند نیز وجود دارد.
راهحل آمازون، استفاده از ابزاری است که پروفایلی از حرکات طبیعی کار با صفحه کلید و ماوس کارکنان را ایجاد میکند و سپس به طور مداوم بررسی میکند که آیا همان شخص از دستگاه استفاده میکند یا خیر. به این ترتیب جلوی سرقت دادههای مشتریان توسط هکرها گرفته میشود. آمازون برای برطرف کردن چند تهدید مختلف، نیاز به نظارت بر عملکرد کارکنان دارد.
اولین مشکل این است که افرادی که خود را به عنوان کارکنان ارائهدهندهی خدمات به مشتری جا زدهاند، توانستهاند تا به دادههای مشتریان آمازون دسترسی پیدا کنند.
براساس اسناد موجود، تیم امنیتی آمازون تاکنون با چهار مورد از حوادث روبرو بودهاند که در آن کلاهبرداران خود را به جای کارکنان جازده و به دادههای مشتریان دسترسی پیدا کردهاند. در متن سند به دست آمده نوشته شده است که: «مشکل امنیتیای که در حال حاضر وجود دارد این است که شرکت آمازون مکانیزم قابل اعتمادی برای بررسی این که آیا کاربران همان افرادی که ادعا میکنند هستند یا خیر، ندارد».
از آنجایی که بیشتر کارکنان نیز از راه دور کار میکنند و ابزارهای امنیتی شرکت برای تایید کارکنان خارجی محدود است، خطر انتقال غیرمجاز داده نیز افزایش مییابد. در نمودار نشان داده شده در سند، لیستی از کشورهایی وجود دارد که آمازون در آن کشورها با بیشترین تهدیدات امنیتی روبرو است. هند در جایگاه اول با بیش از ۱۲۰ مورد، فیلیپین با کمتر از ۷۰ مورد در ردهی دوم و پس از آن آمریکا با ۴۰ مورد در رتبهی سوم قرار دارد. این نمودار اطلاعات بیشتری از جمله اینکه چطور این حوادث اتفاق افتادهاند را ارائه نمیدهد.
در ادامهی سند به چند موردی اشاره شده است که در آن بعضی مواقع دیده شده که کارکنان بخش پشتیبانی بدون قفل کردن رایانه از محل کار خارج میشوند. در این شرایط ممکن است هماتاقی آنها بخواهد ببیند که مردم امروزه بیشتر چه چیزی از آمازون خریداری میکنند و بنابراین از ابزار جستوجوی داخلی سیستم استفاده کند.
در حالت دیگر یک کارمند بخش پشتیبانی میتواند یک USB Rubber Ducky به قیمت ۵۰ دلار بخرد و با سرعتی باورنکردنی در کمتر از یک ساعت هزاران پروندهی مشتری را به سرقت ببرد. در حالت سوم نیز ممکن است یک هکر، رمزعبور کارمندان بخش پشتیبانی و دستگاه احراز هویت چندعاملی آنها را به دست آورده و از این طریق وارد سیستم شود.
تیمهای امنیتی، مالی، حقوقی و دیگر تیمهای آمازون با یکدیگر بر سر استفاده از محصول یک شرکت امنیت سایبری به نام BehavioSec به توافق رسیدهاند.
هدف نهایی شرکت آمازون این است که تا پایان سال ۲۰۲۲، درصد نفوذ کلاهبرداران را به صفر برساند. به دلایل حقوقی، طبق گفتهی سند، آمازون برای جمعآوری دادههای مربوط به رفتار و حرکات افراد با چالشهایی روبرو است. به همین دلیل، شرکت بیشتر به بررسی مدلهایی پرداخته که حریم خصوصی را رعایت کرده و اطلاعات مربوط به حرکات تایپ و استفاده از کیبورد را به طور ناشناس جمعآوری کند.
مدیر ارشد روابط عمومی در آمازون، باربارا آگریت، به Motherboard گفت: «حفظ امنیت و حریم خصوصی مشتریان و کارمندان از اولویتهای اصلی ماست. هرچند جزئیات فناوریهایی که استفاده میکنیم را به اشتراک نمیگذاریم، اما دائماً روشهای جدیدی را آزمایش میکنیم تا از دادههای مشتریان حفاظت کنیم. برای همین، طبق قوانین و مقررات مربوطه عمل میکنیم».
اِنبیسی نیوز گزارش داد که شرکتهایی که به اپل و آمازون سرویس ارائه میدهند، کارکنان را تحت فشار قرار دادهاند تا برای فعالیت تحت نظر ابزارهای نظارتی مانند دوربین، رضایت خود را نشان دهند.
منبع: The Vice
